久久精品国产亚洲AV成人雅虎_欧美日日_中文字幕无码AV激情不卡_精品国产乱码简爱久久久久久_亚洲av成人永久无在线观看_国产成人精品无码一区二区

IPsec策略

通過設置IPsec策略，在本端和對端之間建立一個安全通道。

策略名

自定義該策略名稱，可輸入1-32位字符。

策略狀態

可選“啟用”或“禁用”。

策略類型

Lan to Lan：用于兩臺設備的對接；

Remote Access：用于PC與本產品的對接。

綁定接口

指定該安全通道的本地接口。可選項為當前可用的WAN5口。

對端地址

指定該安全通道連接的對端地址，可設置為IP地址或域名。

本地子網

指定該安全通道的本地網段。

對端子網

指定該安全通道連接的對端網段。

IKE（Internal密鑰交換）

配置IKE，IKE使用了兩個階段為IPsec進行密鑰協商并建立

SA。

交換模式

選擇第一階段的交換模式，可選“Main”或“Aggressive”。

Main模式和Aggressive模式交換的主要差別在于，

Aggressive交換不提供身份保護，只交換3條消息。在對身份

保護要求不高的場合，使用Aggressive模式可以提高協商的速

度；在對身份保護要求較高的場合，應使用Main模式。

交換方向

選擇“發起”，本端為IKE協商的發起端；選擇“接收”，本

端為IKE協商的響應端。

驗證方式

設置通信雙方的身份驗證方式，可選“Pre-shared Key（預

共享密鑰）”或“RSA Signature（數字簽名）”。

開啟DH組

選中單選框，開啟DH組，可選“組2（1024位）”或“組5

（1536位）”。

啟用DPD

選中單選框，啟用DPD功能；

間隔時間：設置多長時間沒有從對端收到IPsec報文，則觸發

DPD查詢。默認值為30秒，取值范圍: 1～180秒；

超時時間：發送DPD查詢后，設置多長時間沒有收到DPD應

答，則刪除IKE SA和相應的IPsec SA。默認值“120秒”， 取值范圍1～600秒。

第一階段

配置第一階段，通信各方彼此間建立了一個已通過身份認證和安全保護的通道，即建立一個IKE SA。

本地ID類型

IKE第一階段的協商過程中本端設備使用的ID類型，用來給對

端標識自己的身份?？蛇x“IP地址”或“域名”。

本地ID

類型選擇“IP地址”，設置IP地址；類型選擇“域名”，設置域名。

對端ID類型

IKE第一階段的協商過程中對端設備使用的ID類型?？蛇x“IP

地址”或“域名”；

兩臺對接設備之間，一臺設備設置的本端ID與另一臺設備設置

的對端ID應該保持一致。

對端ID

類型選擇“IP地址”，設置IP地址；類型選擇“域名”，設置域名。

加密算法

DES（Data Encryption Standard）：使用64bit的密鑰對報文塊進行加密；

3DES（Triple DES）：使用三個64bit的DES密鑰對報文塊進行加密；

AES（Advanced Encryption Standard）：本產品支持

128bit﹑192bit﹑256bit密鑰長度的AES算法；

默認值為“DES”。

驗證算法

MD5：MD5通過輸入任意長度的消息，產生128bit的消息摘要；

SHA1：SHA1通過輸入長度小于2的64次方bit的消息，產生

160bit的消息摘要，SHA1的摘要長于MD5，因而更安全的；

默認值為“MD5”。

IKE SA生存周期

在設置的IKE SA生存周期超時前，會提前協商一個SA來替換

舊的SA，在新的SA還沒有協商完之前，依然使用舊的SA，在

新的SA建立后，將立即使用新的SA，而舊的SA在生存周期超

時后，被自動刪除；

默認值“3600秒”，取值范圍: 1200～86400秒。

第二階段

配置第二階段，用第一階段建立的SA為IPsec協商安全服務，

即為IPsec協商具體的SA，建立用于最終的IP數據報文安全傳

輸的IPsec SA。

封裝模式

Tunnel： 在隧道模式下，AH或ESP插在原始IP報文頭之前，

 另外生成一個新的報文頭放到AH或ESP之前；

Transport：在傳輸模式下，AH或ESP被插入到IP報文頭之

后，但在所有傳輸層協議之前，或所有其他IPsec協議之前；

默認值為“Tunnel模式”。

協議類型

AH：AH是認證頭協議，協議號為51。主要提供的功能有數據

源認證﹑數據完整性校驗和防報文重發功能；

ESP：ESP是報文安全封裝協議，協議號為50。與AH協議不

同的是，ESP將需要保護的數據報文進行加密后再封裝到IP包

中，以保證數據的機密性；

默認值為“ESP”。

加密算法

可選DES﹑3DES﹑AES128﹑AES192﹑AES256，默認值為“ DES”。

驗證算法

可選MD5或SHA1，默認值為“MD5”。

IPsec SA生存周期

設置IPsec SA的生存周期，超過設置時間，需要重新協商IPsec SA；

默認值“28800秒”，取值范圍: 1200～86400秒。

完美前向保密

選中單選框，啟用完美前向保密；

啟用該功能后連接的時間會加長但保密性更好。

啟用壓縮

需要壓縮IPsec的報頭則選擇此項。

保存

單擊<保存>按鈕新增Ipsec策略，顯示于Ipsec應用頁面。